ISO27001信息安全管理體系框架的搭建必須按照適當的程序來進行(如下圖所示)。首先,各個組織應該根據自身的狀況來搭建適合自身業務發展和信息安全需求的ISO27001信息安全管理體系框架,并在正常的業務開展過程中具體實施構架的ISO27001信息安全管理體系。同時在信息安全管理體系的基礎上,建立各種與信息安全管理框架相一致的相關文檔、文件,并 對其進行嚴格的管理。對在具體實施ISO28001信息安全管理體系過程中出現的各種信息安全事件和安全狀況進行嚴格的記錄,并建立嚴格的反饋流程和制度。
(1)信息安全策略
組 織應制定信息安全策略(Information Security Policy)以對組織的信息安全提供管理方向與支持。組織不僅要有一個總體的安全策略,而且,在總體策略的框架內,根據風險評估的結果,制定更加具體的 安全方針,明確規定具體的控制規則,如“清理桌面和清楚屏幕策略”、“訪問控制策略”等。
(2)范圍
組織要根據組織的特性、地理位置、資產和技術對信息安全管理體系范圍(scope)進行界定。組織信息安全管理體系范圍包括以下項目:
需保護的信息系統、資產、技術。
實物場所(地理位置、部門)。
(3)風險評估
組 織需要選擇一個適合其安全要求的風險評估和管理方案,然后進行合乎規范的評估,識別目前面臨的風險及風險等級;風險評估的對象是組織的信息資產,評估考慮 的因素包括資產所受的威脅、薄弱點及威脅發生后對組織的影響。無論采用何種風險評估工具方法,其最終評估結果應是一致的。
(4)風險管理
組織應根據信息安全策略和所要求的安全程度,識別所要管理的風險內容。控制風險包括識別所需的安全措施,通過降低、避免、轉移將風險降至可接受的水平。風險隨著過程的更改、組織的變化、技術的發展及新出現的潛在威脅而變化。
(5)控制目標與控制方式的選擇
風險評估之后,組織應從已有信息安全技術中選擇適當的控制方法,包括額外的控制(組織新增加的和法律法規所要求的),降低已識別的風險。
(6)適用性聲明
信息安全適用性聲明記錄了組織內相關的風險管制目標和針對每種風險所采取的控制措施。它的準備,一方面是為了向組織內的員工聲明對信息安全面對風險的態度;另一方面也是為了向外界表明組織的態度和作為。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
